Жизненно важные файлы заблокированы CrypBoss, HydraCrypt или UmbreCrypt ransomware? Благодаря усилиям исследователя из компании Emsisoft появилась возможность расшифровать ваши данные, что позволит вам получить свои файлы обратно
Есть отличная новость для всех, кто пострадал от вымогательских программ CrypBoss, HydraCrypt и UmbreCrypt. Фабиан Восар, исследователь из Emsisoft, сумел провести их обратную разработку и выпустил программу, способную расшифровывать файлы, которые в противном случае были бы потеряны
Эти три вредоносные программы очень похожи. Вот что вам нужно знать о них, и как вы можете вернуть свои файлы
Знакомство с семейством CrypBoss
Создание вредоносных программ всегда было миллиардным бизнесом. Недобросовестные разработчики программного обеспечения пишут новые вредоносные программы и продают их на аукционе организованным преступникам в самых мрачных уголках темной паутины
Затем эти преступники распространяют их по всему миру, заражая тысячи компьютеров и зарабатывая немыслимые деньги
Похоже, именно это и произошло в данном случае
И HydraCrypt, и UmbreCrypt являются слегка модифицированными вариантами другой вредоносной программы под названием CrypBoss. Помимо того, что они имеют общее происхождение, они также распространяются через Angler Exploit Kit, который использует метод drive-by downloads для заражения жертв. Дэнн Олбрайт в прошлом подробно писал о наборах эксплойтов
Семейство CrypBoss было изучено некоторыми крупнейшими специалистами в области компьютерной безопасности. Исходный код CrypBoss просочился в прошлом году на PasteBin и был почти сразу же поглощен сообществом специалистов по безопасности. В конце прошлой недели McAfee опубликовала один из лучших анализов HydraCrypt, который объяснил, как он работает на самых низких уровнях
Различия между HydraCrypt и UmbreCrypt
С точки зрения своей основной функциональности HydraCrypt и UmbreCrypt делают одно и то же. Когда они впервые заражают систему, они начинают шифровать файлы на основе их расширения, используя сильную форму асимметричного шифрования
У них также есть другие неосновные модели поведения, которые довольно часто встречаются в программах для выкупа
Например, оба позволяют злоумышленнику загружать и исполнять дополнительное программное обеспечение на зараженном компьютере. Оба удаляют теневые копии зашифрованных файлов, что делает невозможным их восстановление
Возможно, самое большое различие между этими двумя программами заключается в способе, которым они ‘выкупают’ файлы обратно
UmbreCrypt – это очень просто. Он сообщает жертвам, что они заражены, и без сотрудничества у них нет шансов получить свои файлы обратно. Чтобы начать процесс расшифровки, жертва должна отправить электронное письмо на один из двух адресов. Они расположены на сайтах ‘engineer.com’ и ‘consultant.com’ соответственно
Вскоре после этого кто-то из UmbreCrypt ответит с информацией об оплате. Уведомление о выкупе не сообщает жертве, сколько ей придется заплатить, хотя в нем говорится, что плата будет умножена, если она не заплатит в течение 72 часов
Забавно, но в инструкциях, предоставленных UmbreCrypt, жертва просит не писать им письма с ‘угрозами и грубостью’. Они даже предоставляют примерный формат электронного письма для использования жертвами
HydraCrypt немного отличается тем, что их записка о выкупе гораздо более угрожающая
Они говорят, что если жертва не заплатит в течение 72 часов, то они применят санкции. Это может быть увеличение выкупа или уничтожение закрытого ключа, что сделает невозможным расшифровку файлов
Они также угрожают опубликовать частную информацию, файлы и документы неплательщиков в ‘темной паутине’. Это делает его немного редким среди программ с выкупом, поскольку его последствия гораздо хуже, чем просто невозможность получить свои файлы обратно
Как вернуть свои файлы
Как мы уже упоминали, Фабиан Восар из Emisoft смог взломать используемое шифрование и выпустил инструмент для возврата ваших файлов под названием DecryptHydraCrypt
Для его работы необходимо иметь под рукой два файла. Это должен быть любой зашифрованный файл плюс незашифрованная копия этого файла. Если у вас есть документ на жестком диске, резервную копию которого вы сохранили на Google Drive или в аккаунте электронной почты, используйте это
В качестве альтернативы, если у вас нет такой возможности, просто найдите зашифрованный файл PNG и используйте любой другой случайный файл PNG, который вы либо создадите сами, либо скачаете из Интернета
Затем перетащите их в приложение для расшифровки. Оно начнет действовать и попытается определить закрытый ключ
Следует предупредить, что это не будет мгновенным. Расшифровщик будет выполнять довольно сложные математические операции, чтобы вычислить ваш ключ расшифровки, и этот процесс может занять несколько дней, в зависимости от вашего процессора
После того как программа вычислит ключ расшифровки, она откроет окно и позволит вам выбрать папки, содержимое которых вы хотите расшифровать. Это работает рекурсивно, поэтому если у вас есть папка в папке, вам нужно будет выбрать только корневую папку
Стоит отметить, что HydraCrypt и UmbreCrypt имеют недостаток, при котором последние 15 байт каждого зашифрованного файла повреждаются безвозвратно
Это не должно вас сильно беспокоить, поскольку эти байты обычно используются для вставки или несущественных метаданных. Но если вы не можете открыть расшифрованные файлы, попробуйте открыть их с помощью инструмента восстановления файлов
Не повезло?
Есть вероятность, что это не сработает для вас. Это может произойти по целому ряду причин. Наиболее вероятно, что вы пытаетесь запустить его на программе вымогательства, которая не является HydraCrypt, CrypBoss или UmbraCrypt
Другая возможность заключается в том, что создатели вредоносной программы изменили ее так, чтобы она использовала другой алгоритм шифрования
На этом этапе у вас есть несколько вариантов
Самый быстрый и перспективный вариант – заплатить выкуп. Эта сумма довольно сильно варьируется, но обычно колеблется в районе отметки $300, и ваши файлы будут восстановлены в течение нескольких часов
Само собой разумеется, что вы имеете дело с организованными преступниками, поэтому нет никаких гарантий, что они действительно расшифруют файлы, а если вы недовольны, у вас нет шансов получить возмещение
Вам также следует принять во внимание аргумент о том, что выплата таких выкупов способствует распространению ransomware и продолжает делать финансово выгодным для разработчиков написание программ ransomware
Второй вариант – ждать в надежде, что кто-нибудь выпустит инструмент для расшифровки вредоносной программы, с которой вы столкнулись. Так произошло с CryptoLocker, когда произошла утечка закрытых ключей с командно-контрольного сервера. В данном случае программа расшифровки была результатом утечки исходного кода
Однако гарантии здесь нет. Довольно часто не существует технологического решения, позволяющего вернуть ваши файлы без уплаты выкупа
Профилактика лучше, чем лечение
Конечно, самый эффективный способ борьбы с программами-вымогателями – не допустить заражения. Приняв некоторые простые меры предосторожности, такие как использование полностью обновленного антивируса и отказ от загрузки файлов из подозрительных мест, вы можете уменьшить свои шансы на заражение
Пострадали ли вы от HydraCrypt или UmbreCrypt? Удалось ли вам вернуть свои файлы? Дайте мне знать в комментариях ниже
Image Credits: Использование ноутбука, палец на тачпаде и клавиатуре (Scyther5 via ShutterStock), Bitcoin на клавиатуре (AztekPhoto via ShutterStock)
Комментировать